내부 서버 해킹으로 고객 유심(USIM ·범용 식별자 가입 모듈) 정보가 유출된 SK텔레콤 해킹 사태 이후 국민적 불안감이 상당하다. 보안 업계는 이번 사태를 ‘예고된 재앙’으로 보는 분위기다. 다만 일각에선 과도한 포비아가 형성됐다는 말도 나온다. 해킹 사태를 둘러싼 의문점 세 가지를 짚어본다.

1. 왜 이렇게 쉽게 뚫렸나

‘보안불감증’ 보안 투자 역행

과학기술정보통신부 민관합동조사단에 따르면 SK텔레콤 가입자 유심 정보를 빼간 해커는 메인 서버인 HSS(가입자관리서버)에 접근해 가입자 전화번호와 가입자식별키(IMSI) 등 유심 관련 정보 25종을 탈취했다. 메인 서버는 워낙 중요한 만큼 SK텔레콤은 5단계 보안 방어벽을 구축했던 것으로 알려졌다. 해커는 이를 직접 뚫기보다 우회하는 방식으로 메인 서버에 접근한 것으로 보인다.

조사단은 유출 과정에서 변종 BPF도어 악성코드가 활용됐다고 보고 있다. BPF도어는 2021년 PWC 위협 보고서를 통해 처음 알려진 BPF를 악용한 백도어(Backdoor) 악성코드다. BPF는 Berkeley Packet Filter의 약자로 시스템 관리자가 네트워크 트래픽을 실시간으로 감시하고 분석하는 패킷 필터링 기술이다. 쉽게 말해 네트워크를 감시하는 블랙박스다. 그런데 해커들은 이를 악용했다. 홈모니터링 시스템을 떠올리면 이해가 쉽다. 평소엔 집을 관리하는 데 큰 도움이 되지만 해킹당하면 범죄에 악용된다. 해커들은 평소엔 잠복했다 필요할 때 블랙박스에 특정 신호를 보내 네트워크 시스템을 관찰하고 특정 데이터를 빼돌린다. BPF도어는 최근 오픈소스(개방형) 방식으로 공개돼 위협은 더욱 커지고 있다. 누구나 공개된 코드를 내려받아 악용할 수 있어서다. 변종 BPF도어도 여럿이다. 현재 보안당국은 SK텔레콤 해킹 주체를 특정하지 못했다.

일각에선 인재(人災) 가능성도 제기한다. 내부 임직원의 부주의나 조력이 만들어낸 해킹 사태일 수 있다는 지적이다. 보안벽을 우회하는 방식인 BPF도어를 썼다고 하더라도 국가 기간 산업인 통신사 보안망을 해커 개인이 뚫는 건 쉽지 않다는 분석에서다. 과거 KT 사례도 다시 조명된다. 2014년 KT 홈페이지가 해킹당해 당시 가입 고객 1600만명 중 1200만명의 개인정보가 유출됐다. 배후에는 KT 협력 업체 직원의 공모가 있었다. KT와 제휴 관계였던 텔레마케팅 업체가 영업을 위해 해커와 공모, 파로스 프록시(Parosproxy)를 이용해 홈페이지를 해킹한 사건이다. 보안 업계 관계자는 “꼭 조력이 없었더라도 보안불감증이 해킹 사태로 이어졌을 가능성은 있다”고 귀띔했다.

국회 과학기술정보방송통신위원회에서도 SK텔레콤의 안일한 태도가 여실히 드러났다. BPF도어 공격 사례 등을 묻는 질문에 유영상 SK텔레콤 대표는 “그에 대한 보고를 받지 못했다. 송구스럽다”고 고개를 숙였다. 역행하는 정보보호 투자 역시 SK텔레콤의 보안불감증을 보여준다는 지적이다. 한국인터넷진흥원(KISA) 정보보호 공시에 따르면 자회사 SK브로드밴드와 SK텔레콤의 합산 정보보호 투자액은 2023년 기준 867억원이다. 연결 재무제표 기준 2023년 영업이익(1조7532억원)의 4.9%다. 이는 2021년 영업이익(1조3871억원) 대비 정보보호 투자액(861억원) 비율 6.2%보다 1.3%포인트 감소한 수치다. 반면 같은 기간 KT와 LG유플러스는 영업이익 대비 정보보호 투자액 비중이 각각 1.2%포인트, 3.4%포인트 상승했다. SK텔레콤만 정보보호 투자액 비중이 후퇴한 것이다.

2. 왜 암호화 안 했을까

“의무 아니라서”…낡은 보안 규제

유심 데이터 암호화 관련해서도 의문이 남는다. 만약 악성코드가 들어왔더라도 유심 데이터가 암호화 상태였다면 피해 규모가 최소화됐을 것이라는 게 보안 업계 설명이다. 하지만 류정환 SK텔레콤 부사장은 국회 과학기술정보방송통신위원회에서 “마케팅 쪽은 암호화가 거의 다 돼 있다고 보지만, 네트워크 쪽은 암호화돼 있지 않은 부분이 많다”며 “데이터 인증을 할 때는 암호화를 하지만, 데이터로 저장된 상태에서는 암호화를 하지 않고 있다”고 시인했다.

암호화를 하지 않은 이유는 단순하다. 마케팅 부서가 활용하는 개인정보와 달리 유심 데이터는 법적 의무 암호화 대상이 아니어서다. 류 부사장은 “법적 기준이 미비해서 암호화하지 않았다”며 “그럼에도 HSS 자체에서도 암호화될 수 있는 부분이 없는지 자문단을 통해 대책을 세우려고 하고 있다”고 말했다. 실제 행정안전부 고시에 따르면 가입자식별번호(IMSI), 가입자 인증키 등 유심 데이터는 의무 암호화 대상이 아니다. 개인정보처리자가 의무적으로 암호화해 보관해야 할 정보는 ▲주민등록번호 ▲여권번호 ▲운전면허번호 ▲외국인등록번호 ▲신용카드번호 ▲계좌번호 ▲생체인식정보 7가지다. 이에 유심 데이터 암호화의 필요성을 강조하는 이들이 상당수다. 해커가 유심 데이터를 탈취하더라도 이를 풀 복호화키가 없으면 훔친 데이터가 무용지물이 되기 때문이다.

다만 법적 의무 여부와 관련 없이 KT와 LG유플러스는 유심 데이터를 암호화해 보관 중인 것으로 확인됐다. KT는 최근 자사 홈페이지에 “그간 KT는 유심 정보 암호화, 방화벽 강화 등 고객 정보 보안을 대대적으로 강화하고 있다”고 밝혔다. LG유플러스도 “해킹 공격의 대상이 될 수 있어 구체적인 암호화 대상을 밝힐 수는 없지만 유심 관련 데이터를 암호화해 보관 중”이라고 설명했다.

3. 왜 2차 피해 사례 없나

“다른 정보 합쳐져 정밀 타깃”

일각에선 공포감이 지나치게 확산된 측면이 있다고 말한다. 실질적인 유출 규모나 구체적인 2차 피해 사례가 나타나고 있지 않기 때문이다. SK텔레콤 측도 “현재까지 파악한 바나 수사기관 쪽에서 접수된 바로는 해킹 이후 불법적 유심 복제로 인한 피해라든가 고객 계좌 정보가 털려서 금액이 나갔다든가 하는 부분은 아직 파악 안 된 것으로 안다”고 말했다.

하지만 전문가들은 “이제 시작”이라고 입을 모은다. 특히 다크웹 등을 통해 정보가 거래된 이후에는 피해 규모를 가늠하는 것조차 쉽지 않을 것이라고 말한다. 국내 사이버보안 기업 소속 관계자는 “금융 인증 수단인 OTP나 생체 정보는 유심과 별도로 보관되기 때문에 해커가 탈취한 IMSI와 인증키만으로 금융 사기를 벌이기는 사실상 불가능”하다면서도 “다만 유출 정보가 다크웹에서 거래되기 시작한다면, 유출 정보가 다른 정보와 결합돼 해커의 정밀 공격 대상이 될 수 있다”고 지적했다. 그러면서 “당장 조사단이나 SK텔레콤이 해커 흔적조차 제대로 못 찾는 상태인데 당장 눈으로 확인 가능한 사례가 없다고 해서 과도한 공포감이라고 표현하는 게 우려된다. 보안 사고는 늘 최악을 가정하고 대비하는 게 기본적인 태도”라고 덧붙였다.

혼란한 틈을 타 문자메시지와 소셜미디어를 활용한 스미싱 등 추가 피해 가능성도 걱정스러운 대목이다. 피싱 방지 솔루션 페이크파인더를 운영하는 에버스핀에 따르면 SK텔레콤 해킹 사건 이후 불안한 사용자 심리를 이용해 스마트폰 원격 제어 앱 설치를 유도하는 사례가 급증하고 있다. 에버스핀 관계자는 “SK텔레콤 유심 해킹 사고로 이용자들이 유심 재발급, 번호이동, 해지 등을 시도하며 통신망과 고객센터에 과부하가 걸렸다”며 “이 혼란을 노린 악성 앱 보이스피싱 공격이 실제로 시도된 정황이 확인됐다”고 밝혔다. 에버스핀에 따르면 피싱범은 문자메시지 등으로 “SKT 유심 해킹 피해 여부를 점검해준다”는 식으로 접근해 원격 제어 악성 앱 설치를 유도했다.

[최창원 기자 choi.changwon@mk.co.kr]

[본 기사는 매경이코노미 제2309호 (2025.05.14~2025.05.20일자) 기사입니다]

[Copyright ⓒ 매경이코노미. All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지.]

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]